应急响应-Windows

云朵里的佛光

 关注

阅读 75

2023-07-13

目录

常用命令

敏感目录

日志分析

系统日志

安全日志

常用命令

命令说明
regedit        注册表
taskmgr       任务管理器
msconfig        系统配置
eventvwr.msc        事件查看器
compmgmt.msc计算机管理
gpedit.msc本地组策略
taskschd.msc计划任务
lusrmgr.msc本地用户和组

%UserProfile%\Recent

%APPDATA%\Microsoft\Windows\Recent

最近打开的文件
net user获取本机用户列表
net localgroup administrators本机管理员
net share查看当前用户下的共享目录
net start查看当前运行的服务
netstat -ano查看网络连接
systeminfo操作系统的详细配置信息
tasklist获取系统进程信息
findstr /m /i /s "hello" *.txt查找文件中的字符串
wmic process获取系统进程信息
wmic process where name="cmd.exe" get processid,executablepath,name根据应用程序查找PID
wmic process where processid="9300" get executablepath,name根据PID查找应用程序
certutil -hashfile 1.txt md5计算样本的MD5

敏感目录

%WINDIR%
%WINDIR%\system32\
%TEMP%
%LOCALAPPDATA%
%APPDATA%

日志分析

系统日志

事件ID说明
12系统启动
13系统关闭
6005系统日志服务已启动
6006系统日志服务已关闭

安全日志

事件ID说明
1102清理审计日志
4624账号登陆成功
4625账号登陆失败
4768Keyberos身份验证(TGT请求)
4769Keyberos服务票证请求
4776NTLM身份验证
4672授予特殊权限
4720创建用户
4726删除用户
4728将成员添加到启用安全的全局组中
4729将成员从安全的全局组中移除
4732将成员添加到启用安全的本地组中
4733将成员从安全的本地组中移除
4756将成员添加到启用安全的通用组中
4757将成员从启用安全的通用组中移除
4719系统审计策略修改

相关推荐

Windows应急响应流程

年迈的代码机器 57 0 0

Windows·FTP爆破应急响应

少_游 50 0 0

【应急响应】 - Windows 排查分析

12a597c01003 47 0 0

windows应急响应常见检查点

写心之所想 113 0 0

应急响应--windows主机入侵排查思路

余寿 73 0 0

应急响应:Linux&Windows实战排查

杨沐涵 30 0 0

Windows应急响应练习-勒索病毒篇1

架构大数据双料架构师 68 0 0

网络安全应急响应----1、应急响应简介

绣文字 76 0 0

应急响应学习

眸晓 91 0 0

Linux 应急响应

秀儿2020 92 0 0

精彩评论(0)

0 0 举报